Rollenbasierte Zugriffsgruppe

Erläuterung

Diese Aktivität ermöglicht die Erstellung und Verwaltung von rollenbasierten Zugriffsgruppen, die es Teams oder Einzelpersonen ermöglichen, gleichzeitig Zugriff auf mehrere Personen zu erhalten. In diesen Gruppen kann der Kontexteines Mitglieds entweder als eine Person oder ein Team festgelegt werden. Wenn der Kontext im Abschnitt Mitglieder auf Team eingestellt ist, wird der Zugang ausschließlich den Mitgliedern dieses speziellen Teams gewährt. Jedem Mitglied innerhalb der Gruppe können verschiedene Zugriffsrollen zugewiesen werden, jede mit einem bestimmten Gültigkeitszeitraum, der die spezifischen Daten, auf die es zugreifen kann, und die Aktionen, die es für die Personen innerhalb der Gruppe durchführen kann, definiert.

Das Hauptziel dieser Gruppen ist es, autorisiertem Personal einen nahtlosen Zugriff auf die Personendaten und Mitarbeiterdaten einer Gruppe von Einzelpersonen und deren zugehörigen Mitarbeitern zu ermöglichen.

Mit diesem Ansatz entfällt die Notwendigkeit, Berechtigungen auf individueller Basis zu vergeben. Darüber hinaus ist es besonders vorteilhaft, wenn bestimmte Personen nicht über den standardmäßigen teambasierten Vorgesetzter-Mitglied-Zugriff erreichbar sind.

Es ist möglich, einer rollenbasierten Zugriffsgruppe ein Verfallsdatumzuzuweisen. Nach Ablauf dieser Frist ändert sich der Status der Gruppe automatisch in Inaktiv, und alle zugriffsbezogenen Aufgaben, die von der Gruppe abhängen, werden deaktiviert.

Standardmäßig hat einMitglied nur Einblick in Transaktionen, die während des Gültigkeitszeitraums eines verfügbaren Mitarbeiters registriert wurden. Um Transaktionen aus einer anderen Periode anzuzeigen, stehen folgende Optionen zur Verfügung:

• Wählen Sie die Manuelle Eingabe Transakt. ab, und geben Sie ein Datum in das Feld Transakt. ab ein. Dieses Datum bestimmt den frühesten Zeitpunkt, ab dem das Mitglied Transaktionen einsehen kann.
• Wählen Sie die Manuelle Eingabe Transakt. bis, und geben Sie ein Datum in das Feld Transakt. bis ein. Transaktionen, die nach diesem Datum erfolgen, sind für das Mitglied nicht mehr zugänglich.

Nach der Erstellung einer rollenbasierten Zugriffsgruppe und dem Hinzufügen von Mitgliedern können Sie fortfahren, Personen innerhalb der Liste der verfügbaren Mitarbeiter der Gruppe hinzuzufügen und zu verwalten. Dies kann entweder durch das Hinzufügen einzelner Personen zur Liste Verfügbare Mitarbeiter oder durch die Konfiguration des Massenzugriffs erreicht werden, was die effiziente Einrichtung von Berechtigungen für mehrere Personen ermöglicht, die gleichzeitig als verfügbare Mitarbeiter hinzugefügt werden können.

Um verfügbare Mitarbeiter in Massen hinzuzufügen, muss die Konfiguration Massenaktualisierungseinrichtung abgeschlossen werden. Jeder Konfiguration wird eine eindeutige Masseneinrichtungsnummer zugewiesen, die mit einer bestimmten rollenbasierten Zugriffsgruppe verknüpft ist.

Die Einrichtung umfasst eine definierte Gültigkeitsdauer, die die Dauer angibt, für die die Konfiguration aktiv bleibt. Zu den optionalen Feldern gehören Zugriff ab (vor) und Zugriff bis (nach), die jeweils mit einem entsprechenden Zeitraum (Einheit) angegeben werden können. Das Feld Zugriff ab (vor) definiert den Zeitraum vor dem Beginn des Gültigkeitszeitraums des verfügbaren Mitarbeiters, in dem dieser verfügbar ist, während das Feld Zugriff bis (nach) den Zeitraum nach dem Ende des Gültigkeitszeitraums definiert, in dem der Zugriff für den verfügbaren Mitarbeiter innerhalb der rollenbasierten Zugriffsgruppe möglich bleibt.

Es gibt zwei Möglichkeiten, verfügbare Mitarbeiter abzurufen: über Team oder über Organisation. Wenn Sie Team auswählen, werden alle Mitglieder dieses speziellen Teams in die Ergebnisse aufgenommen.

Wenn Sie eine Organisation zusammen mit einer Struktur auswählen, werden zusätzliche Filtermöglichkeiten für Beschäftigungen, Zuweisungen und untergeordnete Organisationen verfügbar. Zu diesen Optionen gehören Nur passende Beschäftigte, Nur primäre Zuordnung und Untergeordnete Beschäftigte der Organisation einschließen, die eine genauere Filterung innerhalb der Organisationsstruktur ermöglichen. Wenn die Organisationsstruktur vom Typ Matrix ist, werden außerdem alle verknüpften Unternehmen innerhalb dieser Matrixstruktur in die Ergebnisse einbezogen. Die zugewiesenen Beschäftigten und die zugehörigen Personen, basierend auf den gewählten Filtern, werden bei der Ermittlung der Ergebnisse berücksichtigt.

Bei Änderungen im System (wie z. B. dem Hinzufügen oder Entfernen von Personen oder Beschäftigten) stehen unter der Liste der verfügbaren Mitarbeiter aktualisieren vier Optionen zur Verfügung, um Aktualisierungen für die verfügbaren Mitarbeiter innerhalb der rollenbasierten Zugriffsgruppe effektiv zu verwalten.

• Nur Personen automatisch hinzufügen: Diese Option aktualisiert während der Ausführung des Hintergrundjobs nur die relevanten eingehenden Personen oder Beschäftigten im System.
• Nur Personen automatisch entfernen: Diese Option aktualisiert während der Ausführung des Hintergrundjobs nur die relevanten ausgehenden Personen oder Beschäftigten im System.
• Personen automatisch hinzufügen und entfernen: Diese Option aktualisiert während der Ausführung des Hintergrundjobs automatisch die relevanten ein- und ausgehenden Personen oder Beschäftigten im System.
• Nur manuelle Aktualisierung: Diese Option blockiert während der Ausführung des Hintergrundjobs alle neuen Aktualisierungen der Liste Verfügbare Mitarbeiter.

In der rollenbasierten Zugriffsgruppe werden, wenn eine Massenaktualisierungseinrichtung ausgelassen werden muss, benannte Personen und ihre zugehörigen Beschäftigten (falls vorhanden) von der Aufnahme als verfügbare Mitarbeiter ausgeschlossen. In diesem Szenario kann die Option Ausschließen mit Ja angewendet werden, wobei der Ausschluss als primäres Kriterium gilt. Bei einer neuen Einrichtung ist der Schalter Ausschließen verfügbar, um die Einrichtung zu aktivieren (Ausschließen) oder zu deaktivieren (Einschließen). Danach können alle Änderungen über die Schaltflächen Ausschließen/Einschließen verwaltet werden. Um den Status von Datensätzen zu verwalten, wird die Schaltfläche Ausschließen für Datensätze angezeigt, die mit dem Status Ausschließen – Nein gekennzeichnet sind, sodass sie als ausgeschlossen gekennzeichnet werden können. Umgekehrt wird die Schaltfläche Einschließen für Datensätze mit dem Status Ausschließen – Ja angezeigt, um deren Einbeziehung zu ermöglichen. Wenn jedoch eine Kombination von Datensätzen mit den beiden Status Ausschließen – Ja und Ausschließen – Nein ausgewählt wird, wird keine der beiden Schaltflächen angezeigt.

Das System verhindert Duplikate in der Massenaktualisierungseinrichtung, indem es das Hinzufügen desselben Datensatzes mehr als einmal für Teams oder Organisationen verbietet, wenn alle Spalten übereinstimmen. In der Option Organisation werden Duplikate verhindert, wenn ein Datensatz mit derselben Organisation, demselben Gültigkeitszeitraum (oder überlappenden Zeitraum) und demselben Status Ausschließen oder Einschließen existiert und Einstellungen wie Nur übereinstimmende Beschäftigungen auf Nein, Nur primäre Zuordnung auf Nein und Untergeordnete Mitarbeiter der Organisation einschließen auf Ja gesetzt sind. Wenn ein Datensatz für die Einrichtung Organisation mit einer beliebigen Kombination von Ja oder Nein für Nur übereinstimmende Beschäftigungen, Nur primäre Zuordnung und Untergeordnete Beschäftigte der Organisation einschließen vorhanden ist, wird außerdem ein doppelter Datensatz für dieselbe Organisation, denselben Gültigkeitszeitraum (oder überlappender Zeitraum), denselben Status Ausschließen oder Einschließen hinzugefügt, wobei die Einstellung von Nur übereinstimmende Beschäftigungen auf Nein, Nur primäre Zuordnung auf Nein und Untergeordnete Beschäftigte der Organisation einschließen auf Ja ebenfalls nicht zulässig ist.

Darüber hinaus ist es in der Option Organisation nicht erlaubt, die Option Ausschließen auf Ja zu setzen, wenn entweder Nur übereinstimmende Beschäftigungen und/oder Nur primäre Zuweisung auf Ja gesetzt sind.

Nach der Definition einer Massenaktualisierungseinrichtung für die rollenbasierte Zugriffsgruppe können Personen (ggf. zusammen mit Beschäftigtendetails) zur Liste Verfügbaren Mitarbeiter hinzugefügt werden, indem Sie auf die Schaltfläche Manuelles Aktualisieren der verfügbaren Mitarbeiter klicken. Darüber hinaus können alle Änderungen (wie z. B. Hinzufügungen, Änderungen oder Löschungen) in der Massenaktualisierungseinrichtung entweder manuell über dieselbe Schaltfläche oder automatisch während der nächsten geplanten Ausführung des Hintergrundjobs aktualisiert werden.

Das Feld Zuletzt aktualisiert erfasst das Datum und die Uhrzeit der letzten Aktualisierung der relevanten Massenaktualisierungseinrichtung, unabhängig davon, ob die Aktualisierung manuell oder durch die Ausführung eines geplanten Hintergrundjobs durchgeführt wurde.

Die Liste Verfügbare Mitarbeiter zeigt Personen an, auf die Mitglieder der rollenbasierten Zugriffsgruppe Zugriff haben. Jeder verfügbare Mitarbeiter ist mit einem Gültigkeitszeitraum verknüpft, während dessen die Mitglieder der Gruppe auf ihre Daten zugreifen können. Beim manuellen Hinzufügen von verfügbaren Mitarbeitern kann ein bestimmter Gültigkeitszeitraum definiert werden. Für verfügbare Mitarbeiter, die aus der Massenaktualisierungseinrichtung abgeleitet werden, wird der Gültigkeitszeitraum durch die Schnittmenge des Gültigkeitszeitraums der Massenaktualisierungseinrichtung und dem Zuweisungszeitraum der Person (für Teams) oder dem Zuweisungszeitraum des Beschäftigten (für Organisationen) bestimmt. Zusätzlich wird die bisherige und zukünftige Zugriffsdauer, die in der Massenaktualisierungseinrichtung angegeben wurde, zur Gültigkeitsdauer der verfügbaren Mitarbeiter hinzugefügt.

Die Gültigkeitsdauer des Zugriffs für jedes Mitglied ergibt sich aus der Schnittmenge des eigenen Gültigkeitszeitraums und des Gültigkeitszeitraums, der dem verfügbaren Mitarbeiter zugewiesen ist. Auf diese Weise wird sichergestellt, dass der Zugriff nur während Überlappungsperioden der Gültigkeit gewährt wird, die mit den Zugriffszeiten sowohl des Mitgliedsals auch des verfügbaren Mitarbeiters übereinstimmen.

Die konfigurierte Masseneinrichtungsnummer wird neben dem verfügbaren Mitarbeiter angezeigt, um die Quelle des Ergebnisses der Massenaktualisierungseinrichtung innerhalb der rollenbasierten Zugriffsgruppe zu identifizieren. Wenn der verfügbare Mitarbeiter manuell hinzugefügt wird, bleibt dieses Feld leer. Die verfügbaren Mitarbeiter und die zugehörigen Beschäftigten, die von der Massenaktualisierungseinrichtung generiert werden, können nicht bearbeitet oder entfernt werden. Manuell hinzugefügte Datensätze können jedoch zu einem späteren Zeitpunkt bearbeitet oder entfernt werden, sofern sie bestimmten Validierungen unterliegen.

Die Option Ausschließen/Einschließen ist explizit für manuell hinzugefügte verfügbare Mitarbeiter innerhalb der rollenbasierten Zugriffsgruppe modifizierbar. Beim manuellen Hinzufügen von verfügbaren Mitarbeitern zur rollenbasierten Zugriffsgruppe ist die Option Ausschließen standardmäßig auf Nein gesetzt, was bedeutet, dass die Person automatisch in die Liste Verfügbare Mitarbeiter aufgenommen wird. Wenn die Option Ausschließen auf Ja gesetzt ist, hat der Ausschluss Vorrang, und die Person wird nicht als verfügbarer Mitarbeiter für die Gruppe berücksichtigt, wenn der Zugriff gewährt wird. Für neue Datensätze steht der Schalter Ausschließen zur Verfügung, um sie zu aktivieren (Ausschließen) oder zu deaktivieren (Einschließen). Danach können alle Änderungen über die Schaltflächen Ausschließen/Einschließen verwaltet werden. Die Schaltfläche Ausschließen wird angezeigt, wenn Datensätze mit dem Status Ausschließen – Nein ausgewählt sind, und die Schaltfläche „Einschließen“ wird für Datensätze mit dem Status Ausschließen – Ja angezeigt; wenn beide Status gleichzeitig ausgewählt sind, wird keine der beiden Schaltflächen angezeigt.

Beim manuellen Hinzufügen von verfügbaren Mitarbeitern ist die Standardeinstellung für Alle Beschäftigungen auf Ja gesetzt, d. h. alle Beschäftigten, die mit der Person verknüpft sind, werden in die Liste aufgenommen, und einzelne Beschäftigte werden nicht separat aufgeführt. Zusätzlich gibt es die Möglichkeit, bestimmte aktive Beschäftigte einer Person nur dann manuell hinzuzufügen, wenn die Option Ausschließen auf Nein gesetzt ist. Wenn mindestens ein Beschäftigter manuell hinzugefügt wird oder wenn alle Beschäftigten, die mit der Person verknüpft sind, manuell hinzugefügt werden, wird die Option Alle Beschäftigungen automatisch auf Nein gesetzt, und die Änderung der Option Ausschließen des verfügbaren Mitarbeiters auf Ja wird ebenfalls deaktiviert.

Wenn verfügbare Mitarbeiter von der Massenaktualisierungseinrichtung abgeleitet werden, hängt die Einstellung Alle Beschäftigungen von den Ergebnissen dieser Einrichtung ab. Wenn die Massenaktualisierungseinrichtung bestimmte Beschäftigte angibt, wird die Option Alle Beschäftigungen auf Nein gesetzt, und die zugehörigen Unternehmens- und Beschäftigtendetails werden im Abschnitt Beschäftigungen angezeigt. Wenn jedoch in der Massenaktualisierungseinrichtung keine Beschäftigten angegeben sind, wird Alle Beschäftigungen auf Ja gesetzt, wodurch der Zugriff auf alle Beschäftigten ermöglicht wird, die mit dieser Person verbunden sind, ohne dass sie im Abschnitt Beschäftigungen aufgeführt werden, solange Beschäftigte verfügbar sind. Außerdem werden die Ausschlusskriterien für verfügbare Mitarbeiter, die sich aus der Massenaktualisierungseinrichtung ergeben, ebenfalls durch die Einrichtung definiert. Wenn die Option Ausschließen auf Ja gesetzt ist, hat der Ausschluss Priorität und die Person wird nicht als verfügbarer Mitarbeiter für die Gruppe betrachtet.

Die folgenden Verfahren beschreiben, wie der Zugriff auf verfügbare Mitarbeiter innerhalb der rollenbasierten Zugriffsgruppe gewährt wird.

• Der Zugriff wird auf der Grundlage der Gültigkeitszeiträume für jeden verfügbaren Mitarbeiter gewährt, wenn sowohl manuelle als auch Massendatensätze als Ausschließen – Nein (mit Angabe der Einbeziehung) bereitgestellt werden.
  • Wenn es keine sich überschneidenden Gültigkeitszeiträume gibt, werden sowohl manuelle als auch Massendatensätze für den Zugriff berücksichtigt.
  • Wenn sich Gültigkeitszeiträume überschneiden, kann kein neuer manueller Datensatz hinzugefügt werden, wenn es bereits überlappende manuelle Datensätze gibt. Andererseits werden sich überschneidende Massendatensätze weiterhin für den Zugriff berücksichtigt.
  • Ein manueller Datensatz kann nicht hinzugefügt werden, wenn er sich mit einem bereits existierenden Massendatensatz überschneidet.
  • Wird ein Massendatensatz nach einem manuellen Datensatz mit einem sich überschneidenden Zeitraum hinzugefügt, wird er nur für die Dauer berücksichtigt, die nicht durch den manuellen Datensatz abgedeckt ist, sofern sein Gültigkeitszeitraum größer ist. Wenn der Gültigkeitszeitraum des Massendatensatzes gleich oder kürzer als der des manuellen Datensatzes ist, wird er nicht berücksichtigt und der Zugriff wird ausschließlich anhand des manuellen Datensatzes bestimmt.
• Der Zugriff wird auf der Grundlage der Gültigkeitszeiträume für jeden verfügbaren Mitarbeiter gewährt, wenn ein Datensatz als Einschließen und der andere als Ausschließen markiert ist.
  • Wenn es keine sich überschneidenden Gültigkeitszeiträume gibt, wird der Zugriff ausschließlich auf der Grundlage des Einschließen-Datensatzes gewährt.
  • Manuelle Datensätze dürfen sich nicht überschneiden, unabhängig von ihrem Einschließen- oder Ausschließen-Status.
  • Wenn sich Massendatensätze überschneiden, wird der Zugriff verweigert, wenn der Gültigkeitszeitraum eines Ausschließen-Datensatzes gleich oder länger als der eines Einschließen-Datensatzes ist. Ist der Gültigkeitszeitraum des Ausschließen-Datensatzes kürzer, wird der Zugriff für die verbleibende Zeit gewährt.
  • Wenn ein manueller Datensatz vorhanden ist und ein Massendatensatz mit sich überschneidenden Gültigkeitszeiträumen hinzugefügt wird, wird der Zugriff durch den Gültigkeitszeitraum des Ausschließen-Datensatzes bestimmt: Wenn der Gültigkeitszeitraum des Ausschließen-Datensatzes gleich oder größer als der des Einschließen-Datensatzes ist, wird kein Zugriff gewährt. Ist dagegen der Gültigkeitszeitraum des Ausschließen-Datensatzes kürzer, wird der Zugriff für die verbleibende Zeit nach Ausschluss des durch den Ausschließen-Datensatz abgedeckten Zeitraums gewährt.
  • Wenn ein Massendatensatz vorhanden ist, folgt das Hinzufügen eines manuellen Datensatzes mit sich überschneidenden Gültigkeitszeiträumen den folgenden Richtlinien: Wenn der Massendatensatz als Einschließen markiert ist und ein manueller Ausschließen-Datensatz hinzugefügt wird, wird der Zugriff verweigert, wenn die Gültigkeitsdauer des Ausschließen-Datensatzes gleich oder größer als die des Einschließen-Datensatzes ist. Der Zugriff wird jedoch für die verbleibende Zeit gewährt, wenn die Gültigkeitsdauer des Ausschließen-Datensatzes kürzer ist. Wenn der Massendatensatz als Ausschließen markiert ist, ist das Hinzufügen eines manuellen Einschließen-Datensatzes unzulässig, unabhängig von den Gültigkeitszeiträumen.

Voraussetzungen

• Personen: Muss im System erfasst sein.
• Zugriffsrollen des Vorgesetzten: Müssen in der Zugriffsrolle definiert werden.
• Teams: Erfassung im System ist optional.
• Struktur/Organisation: Die Erfassung im System ist optional.
• Mitarbeiter: Erfassung im System ist optional.

Auswirkungen

Infolge dieser Aktivität wird eine rollenbasierte Zugriffsgruppe erstellt.

Pages

Rollenbasierte Zugriffsgruppe

Activity Diagrams

Konfiguration HR-Zugriff